هجوم حفرة الري
هجوم حُفرة الريّ (بالإنجليزية: Watering Hole Attack) هو عبارةٌ عن هجوم سيبراني يقومُ فيهِ المهاجِم بتخمين أو تعقّب مواقع الويب التي يستخدمها الشخص (أو الشركة أو المنظمة بصفة عامّة في حالة استهداف مجموعة) وإصابة واحدٍ من تلك المواقع أو أكثر – حسبَ الثغرات في تلك المواقع وسهولة إصابتها من عدمه – ببرامج خبيثة وضارّة، ومن ثمّ إصابة الشخص المستهدَف – أو بعض أفراد المجموعة المستهدفَة – حين زيارة تلك المواقع المعتادة التي كان يزورها من قبل دون أن ينتبه لإصابتها ببرنامج خبيث ما.[1][2][3] قد يقوم المهاجِم الذي يبحثُ عن معلوماتٍ محددةٍ أو يجمعها بمهاجمة أهدافهِ من تلك المواقع المصابة من خلال معرفةِ عناوين بروتوكول إنترنت (IP) لضحاياه بدل استهداف كل الزوار، وهو ما يجعلُ من الصعبِ نوعًا ما اكتشاف مثل هذا النوع من الاختراقات.[4] اسمُ هجوم حفرة الريّ مشتَقٌّ من هجَمات الحيوانات المفترسة التي تنتظرُ الفرصة لمهاجمة فرائسها بالقربِ من حفر المياه والريّ حينَ محاولة الشرب.[5]
تقنيات الدفاع
عدلغالبًا ما تُصاب مواقع الويب بثغرات الهجوم دون انتظار والذي يُعرف أكثر باسمِ يوم الصفر (بالإنجليزية: Zero Day) سواءً أكانَ المستخدمون يلجون هذه المواقع عبرَ المتصفحات أو عبر تطبيقات أخرى.[4] يتمثلُ الدفاع ضد هكذا ثغرات أمنيّة معروفة من خلالِ الحرص على تطبيقِ أحدث تصحيحات وتحديثات البرامج لإزالة الثغرة الأمنية التي مكَّنت المُهاجِم من إصابة الموقع أو التطبيق، كما يلزمُ على الزوار التأكّد من أنّ جميع برامجهم وتطبيقاتهم تعملُ على أحدث إصدار. هناك دفاعٌ إضافي يتمثلُ في قيام الشركات بمراقبة مواقعها على الويب وشبكاتها ثم حظر حركة المرور في حالة اكتشافِ محتوى ضار.[6]
أمثلة
عدلمجلس العلاقات الخارجية الأمريكي (2012)
عدلاكتُشفَ في كانون الأول/ديسمبر 2012 إصابة موقع مجلس العلاقات الخارجية على الويب ببرامج ضارة من خلال ثغرة يوم الصفر للذين يلجون الموقع عبرَ إنترنت إكسبلورر من تطويرِ شركة مايكروسوفت. استُهدفَ خلال هذا الهجوم زوار الموقع من خلال إنترنت إكسبلورر فقط والذين يستعملون المتصفح باللّغات الإنجليزية والصينية واليابانية والكورية والروسيّة بينما لم يُستهدَف باقي الزوار من متصفحات أخرى أو الزوار من متصفح مايكروسوفت لكنّ لغة متصفحهم مختلفة عن اللغات المذكورة سلفًا.[7]
الهجمات على أنظمة التحكم الصناعيّة (2013)
عدلاكتُشفَ هجوم برنامج هافيكس (بالإنجليزية: Havex) في وقتٍ ما من عام 2013 وهو هجومٌ واحدٌ من خمسِ برامج ضارة مصممة خصيصًا لمهاجمة أنظمة التحكّم الصناعي (ICS) وخاصّة تلك التي طُوّرت في العقد الماضي. بدأت مجموعةُ إنرجيتك بير (بالإنجليزية: Energetic Bear) وهي مجموعةُ تجسس إلكترونيّة روسيّة في استخدام برنامج هافيكس في حملة تجسس واسعة النطاق استهدفَت قطاعات الطاقة والطيران والأدوية والدفاع والبتروكيماويات، واستهدفَ هذا الهجوم ضحايا منَ الولايات المتحدة وأوروبا في المقام الأول.[8] استغلَّت المجموعة المخترِقَة عبر برنامجها هافيكس هجمات حفرة الريّ حيثُ حاولت التجسّس على زوار مواقع أنظمة التحكّم الصناعي في عددٍ من البلدان ومن ثمّ محاولة تحديد أكثر المواقع الأخرى التي يزورها الزوار قبل شنّ هجمات على هذه المواقع الأخيرة بغرض إصابتها ومن ثمّ الوصول لأنظمة الضحايا.[9]
وزارة العمل الأمريكيّة (2013)
عدلاستهدفَ مهاجِمون في منتصف عام 2013 زوار موقع الويب الخاص بوزارة العمل الأمريكية عبرَ هجمات حفرة الريّ وذلك لجمعِ معلومات أكبر عن المستخدمين، حيثُ استهدفَ هذا الهجوم على وجه التحديد المستخدمين الذين يزورون صفحاتٍ ذات محتوى نووي.[10]
البنوك البولنديّة (2016)
عدلاكتشفَ بنكٌ بولندي في أواخر عام 2016 برامج ضارّة وخبيثة على أجهزة كمبيوتر تابعة له، ويُعتقد أن مصدر هذا البرنامج الضار هو خادم الويب لهيئة الرقابة المالية البولندية الذي استُهدفَ أساسًا عبر هجوم حفرة الريّ.[11] لم ترد أيُّ تقارير عن أي خسائر مالية نتيجةً لهذا الاختراق.[11]
منظمة الطيران المدني (2017)
عدلحصلَ هجوم حفرة الريّ على مستوى منظمة الطيران المدني الدولي الذي تتخذُ من مونتريال مقرًا لها في وقتٍ ما بين 2016 حتى 2017 من قِبل كيان غير معروفٍ ما تسبَّب في خرقٍ للبيانات.[12]
هجوم سي كلينر (2017)
عدلتضمَّن برنامجُ سي كلينر الذي حمّله المستخدمون في الفترة ما بين آب/أغسطس إلى أيلول/سبتمبر 2017 من الخوادم الرسميّة للموزِّع الرئيسي لهذا البرنامج برامج ضارة. سي كلينر هو برنامجٌ شائعٌ يُستخدم على نطاقٍ واسعٍ لتنظيف الملفات غير المرغوب فيها من أجهزة الكمبيوتر العاملة بنظام تشغيل ويندوز، بل يُستخدم هذا البرنامج من قِبل المستخدمين المهتمين بأمنهم على مواقع الويب أساسًا، لكنّ مهاجمًا استغلَّ هجوم حفرة الري ونجحَ بطريقةٍ ما من زرعِ برنامجٍ خبيث وقَّعهُ مع شهادة المطور ما جعلَ من المحتمل أن يكون المهاجم قد خرقَ بيئة التطوير واستخدمها لإدراج برنامجهِ الضار دون اكتشافِ أمره.[13][14]
هجوم نوت بيتيا (2017)
عدلهجوم نوت بيتيا[ا] هو هجومٌ سيبراني حصل في حزيران/يونيو 2017 من خلال برنامجٍ خبيثٍ حمل اسم نوت بيتيا ومنهُ جاء اسم الهجوم. يُعتقد أنّ البرنامج الضار الذي استُعمِل في هذا الهجوم قد طُوّر في أوكرانيا واستهدفَ موقعًا إلكترونيًا تابعًا للحكومة الأوكرانية. كان ناقلُ البرنامج الخبيث – وهو الذي نقلَه لمستخدمين آخرين دون أن يدري – من مستخدمي موقع الذين استهدفهُ المهاجِم عبر هجوم حفرة الريّ. كانَ هذا البرامج الضار يُصيب نظام التشغيل ويندوز مباشرة ويقومُ بحذف أو تشفير محتويات محركات الأقراص الثابتة الخاصّة بالضحايا ثمّ يُطلب منهم الدفع لاستعادتها.[15]
الهجوم على مواقع حكوميّة صينيّة (2018)
عدلهاجَمت مجموعةُ لاكي ماوس (بالإنجليزية: LuckyMouse) والمعروفة بعددٍ من الأسماء الأخرى مواقع تتبعُ النظام الصيني من أواخر عام 2017 إلى آذار/مارس من عام 2018 مستغلَّةً في ذلك المزايا التي يُوفّرها هجوم حفرة الريّ.[16]
الهجمات على مواقع جماعات خيرية (2019)
عدلاستهدفَ هجوم حفرة الريّ في وقتٍ ما من عام 2019 مواقعَ الجماعات الدينية والخيرية الآسيوية،[17] حيثُ طُلب من زوار تلك المواقع المستهدَفة تحديث برنامج أدوبي فلاش ومنهُ انطلقَ الهجوم فعليًا. كانَ الهجوم ملحوظًا بل ومتميّزًا وذلك بسببِ تطوّره السريع،[18] مع أنّ الدافع وراء الهجوم لم يُعرَف.[18] قدَّم الخبراء تحليلًا تقنيًا مفصلًا جنبًا إلى جنب مع قائمة طويلة من المؤشّرات التي جُمعَت خلال الهجوم، ومع ذلك فقد ظلَّ الدافع غير واضح.[19]
ملاحظات
عدل- ^ نوت بيتيا أو بيتيا (بالإنجليزية: Petya) هي عائلةٌ من البرامج الضارة المشفَّرة التي اكتُشافت لأول مرة في عام 2016، وتستهدفُ هذه البرامج الخبيثة أنظمة تشغيل ويندوز مباشرة حيثُ تقوم بتشفير جدول نظام ملفات محرك الأقراص الثابتة وتمنع ويندوز من القيامِ بعددٍ من مهامهِ الروتينيّة ثمّ تُطالب الضحيّة الذي أُصيبَ جهازه بالدفع بعملة البيتكوين من أجل استعادة الوصول إلى نظامه.
المراجع
عدل- ^ Gragido، Will (20 يوليو 2012). "Lions at the Watering Hole – The "VOHO" Affair". The RSA Blog. شركة إي أم سي. مؤرشف من الأصل في 2017-08-07.
- ^ Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (13 Jun 2016). Cyber Guerilla (بالإنجليزية). Syngress. p. 57. ISBN:9780128052846. Archived from the original on 2020-12-16.
- ^ Miller، Joseph B. (2014). Internet Technologies and Information Services, 2nd Edition. ABC-CLIO. ص. 123. ISBN:9781610698863. مؤرشف من الأصل في 2017-02-23.
- ^ ا ب Symantec. Internet Security Threat Report, April 2016, p. 38 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf نسخة محفوظة 2020-02-14 على موقع واي باك مشين.
- ^ Rouse, Margaret. "What is watering hole attack?". SearchSecurity (بالإنجليزية الأمريكية). Archived from the original on 2021-11-17. Retrieved 2017-04-03.
- ^ Grimes, Roger A. "Watch out for waterhole attacks -- hackers' latest stealth weapon". InfoWorld (بالإنجليزية). Archived from the original on 2017-05-29. Retrieved 2017-04-03.
- ^ "Council on Foreign Relations Website Hit by Watering Hole Attack, IE Zero-Day Exploit". كاسبرسكي لاب (بالإنجليزية الأمريكية). 29 Dec 2012. Archived from the original on 2022-04-23. Retrieved 2017-04-02.
- ^ "ICS Focused Malware". ics-cert.us-cert.gov (بالإنجليزية). Archived from the original on 2018-09-15. Retrieved 2020-12-09.
- ^ "Full Disclosure of Havex Trojans". Netresec (بالإنجليزية). 27 Oct 2014. Archived from the original on 2022-06-01. Retrieved 2020-12-09.
- ^ "Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities". blogs@Cisco - Cisco Blogs (بالإنجليزية الأمريكية). 4 May 2013. Archived from the original on 2022-01-20. Retrieved 2017-04-03.
- ^ ا ب "Attackers target dozens of global banks with new malware". Symantec Security Response. مؤرشف من الأصل في 2020-02-24. اطلع عليه بتاريخ 2017-04-02.
- ^ https://www.cbc.ca/news/canada/montreal/icao-patient-zero-cyberattack-whistleblower-1.5223883 نسخة محفوظة 2021-12-18 على موقع واي باك مشين.
- ^ "CCleanup: A Vast Number of Machines at Risk". blogs@Cisco - Cisco Blogs (بالإنجليزية الأمريكية). Archived from the original on 2022-06-05. Retrieved 2017-09-19.
- ^ "Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users". blogs@Piriform - Piriform Blogs (بالإنجليزية الأمريكية). Archived from the original on 2018-01-22. Retrieved 2017-09-19.
- ^ "Researchers Find BlackEnergy APT Links in ExPetr Code". مؤرشف من الأصل في 2022-01-20.
- ^ "Chinese Hackers Carried Out Country-Level Watering Hole Attack". مؤرشف من الأصل في 2021-11-17.
- ^ "Kaspersky uncovers a creative water hole attack discovered in the wild". Kaspersky. 26 مايو 2021. مؤرشف من الأصل في 2021-11-17.
- ^ ا ب "Holy water: ongoing targeted water-holing attack in Asia". securelist.com. مؤرشف من الأصل في 2021-11-15. اطلع عليه بتاريخ 2020-08-05.
- ^ "Holy water: ongoing targeted water-holing attack in Asia". securelist.com. مؤرشف من الأصل في 2021-11-15. اطلع عليه بتاريخ 2022-02-03.